L’oggetto Criteri di gruppo (GPO) di Microsoft è una raccolta di impostazioni Criteri di gruppo che definisce l’aspetto di un sistema e il suo comportamento per un gruppo definito di utenti.
Microsoft fornisce un programma snap – in che consente di utilizzare la Group Policy Management Console (GPMC). Le selezioni generano un oggetto Criteri di gruppo. Il GPO è associato a contenitori Active Directory selezionati, come siti, domini o unità organizzative (OU). GPMC consente di creare un GPO che definisce le politiche basate sul registro, le opzioni di sicurezza, le opzioni di installazione e manutenzione del software, le opzioni di script e le opzioni di reindirizzamento delle cartelle.
Tipi di GPO
Esistono tre tipi di GPO: locale, non locale e starter.
- Oggetti Criteri di gruppo locali. Un oggetto Criteri di gruppo localesi riferisce alla raccolta di impostazioni criteri di gruppo che si applicano solo al computer locale e agli utenti che accedono a tale computer. I GPO locali vengono utilizzati quando le impostazioni dei criteri devono essere applicate a un singolo computer o utente Windows. I GPO locali esistono per impostazione predefinita su tutti i computer Windows.
- Oggetti Criteri di gruppo non locali. Un oggetto criteri di gruppo non localeè utilizzato quando le impostazioni dei criteri devono essere applicate a uno o più computer o utenti Windows. I GPO non locali si applicano ai computer o agli utenti Windows una volta collegati agli oggetti Active Directory, ad esempio siti, domini o unità organizzative.
- Oggetti Criteri di gruppo starter. Introdotto in Windows Server 2008, i GPO starter sono modelli per le impostazioni dei criteri di gruppo. Questi oggetti consentono a un amministratore di creare e disporre di un gruppo di impostazioni preconfigurate che rappresentano una linea di base per qualsiasi criterio futuro da creare.
Sicurezza dei dati e Oggetto Criteri di gruppo
Esistono alcune impostazioni dei criteri di gruppo che possono aiutare a proteggere la rete di un’azienda. Ad esempio, tramite Criteri di gruppo, un’organizzazione può eseguire script, impedire agli utenti di accedere a determinate risorse ed eseguire attività semplici, ad esempio forzando l’apertura di una particolare home page per ogni utente di rete.
Alcune di queste misure di sicurezza includono:
- Limitare l’accesso al pannello di controllo-attraverso il Pannello di controllo, un’azienda può controllare tutti gli aspetti di un computer. Limitare chi ha accesso a un computer consente alle organizzazioni di mantenere al sicuro i dati e altre risorse.
- Disabilitazione del prompt dei comandi: un’azienda può utilizzare i prompt dei comandi per eseguire comandi che consentono l’accesso di alto livello agli utenti e bypassare altre restrizioni di sistema. Ecco perché è prudente disabilitare il prompt dei comandi per garantire la sicurezza delle risorse di sistema. Se un utente tenta di aprire una finestra di comando dopo che il prompt dei comandi è stato disabilitato, il sistema visualizzerà un messaggio che indica che alcune impostazioni lo impediscono.
- Impedisci installazioni software-se gli utenti sono autorizzati a installare software, possono installare applicazioni indesiderate o malware che possono compromettere il sistema di un’azienda. In quanto tale, è meglio impedire l’installazione di software tramite Criteri di gruppo.
i Vantaggi di Oggetti Criteri di Gruppo
Ci sono diversi vantaggi per l’implementazione di criteri di gruppo in aggiunta alla sicurezza, tra cui:
- una gestione Più efficiente — oggetti criteri di gruppo, già in atto, si applica un ambiente standardizzato a tutti i nuovi utenti e i computer che unirsi a un dominio dell’organizzazione, risparmio di tempo di installazione.
- Facilità di amministrazione-gli amministratori di sistema possono distribuire software, patch e altri aggiornamenti tramite GPO.
- Migliore applicazione dei criteri per le password: i GPO determinano la lunghezza della password, riutilizzano le regole e stabiliscono altri requisiti per le password per mantenere sicura la rete di un’azienda.
- Configurazione del reindirizzamento delle cartelle G i GPO consentono alle aziende di garantire che gli utenti conservino file aziendali importanti su un sistema di archiviazione centralizzato e monitorato. Ad esempio, un’organizzazione può reindirizzare la cartella Documenti di un utente, che di solito è memorizzata su un’unità locale, in un percorso di rete.
Limitazioni di GPO
Le limitazioni degli oggetti Criteri di gruppo includono:
- Eseguono in sequenza le azioni di processo G GPO una dopo l’altra. Di conseguenza, se molti GPO devono essere configurati, gli utenti possono richiedere molto tempo per accedere.
- La flessibilità è limitata: i GPO possono essere applicati solo agli utenti o ai computer. Quindi sono limitati quando si tratta di applicare le impostazioni in base al contesto.
- Trigger limitati: i GPO possono essere applicati solo all’avvio del computer, quando un utente accede o a intervalli prestabiliti. I GPO non possono reagire ai cambiamenti nell’ambiente, ad esempio disconnessione o riconnessione della rete.
- Difficile da mantenere-non esiste un’opzione di ricerca o filtro integrata per trovare un’impostazione specifica all’interno di un GPO, rendendo difficile trovare o risolvere problemi con le impostazioni esistenti.
- Nessun controllo di versione: le modifiche apportate alle impostazioni GPO non vengono verificate. Quindi, se viene apportata una modifica errata, è impossibile dire quale sia stata la modifica o chi l’abbia apportata.
Ordine di elaborazione dei GPO
L’ordine di elaborazione dei Criteri di gruppo influisce sulle impostazioni applicate al computer o all’utente finale. Questo ordine di elaborazione è noto come LSDOU: locale, sito, dominio, unità organizzativa. Prima viene elaborato il criterio del computer locale, seguito dai criteri di Active Directory dal livello del sito al dominio, quindi in OU (i GPO nelle unità organizzative nidificate si applicano prima dall’OU più vicina alla radice e continuano da lì). Se ci sono conflitti, l’ultima politica applicata avrà effetto.
Esempi di GPO
Di seguito sono riportati esempi di oggetti Criteri di gruppo:
- Un GPO potrebbe specificare la home page visualizzata per la prima volta quando un utente avvia Internet Explorer. Quando l’utente accede al dominio, tale oggetto criteri di gruppo viene recuperato e applicato alla configurazione di Internet Explorer dell’utente.
- Un’organizzazione può distribuire connessioni di stampante di rete condivise agli utenti da una OU specifica di Active Directory utilizzando Criteri di gruppo. Pertanto, quando un utente accede a Windows, una stampante di rete assegnata apparirà automaticamente nell’elenco delle stampanti disponibili.
- Gli amministratori possono utilizzare un criterio di gruppo per regolare le impostazioni, ad esempio spegnere i display del computer per un certo periodo di tempo, scegliere i programmi predefiniti e impedire agli utenti di modificare le opzioni di connessione Internet.
Best practice
Alcune best practice per GPO includono:
- Creare una struttura di unità organizzativa ben progettata in Active Directory per semplificare l’applicazione e la risoluzione dei problemi dei criteri di gruppo.
- Dare GPO nomi descrittivi per consentire agli amministratori di identificare rapidamente ciò che ogni GPO fa.
- Aggiungi commenti a ciascun GPO spiegando perché è stato creato, qual è il suo scopo e quali sono le sue impostazioni.
- Non impostare GPO a livello di dominio perché verranno applicati a tutti gli oggetti computer e utente. Ciò potrebbe causare l’applicazione di alcune impostazioni ad alcuni oggetti inutilmente.
- Non utilizzare i computer root o le cartelle utente in Active Directory perché non sono unità organizzative e non possono avere GPO collegati ad esse. Quando un nuovo oggetto utente o computer appare in queste cartelle, dovrebbe essere immediatamente alla UO appropriata.
- Non disabilitare un GPO. Piuttosto, elimina il link da un OU invece di disabilitare il GPO se non vuoi che venga applicato. Disabilitare il GPO impedirà che venga applicato interamente sul dominio. Questo potrebbe essere un problema perché se quel particolare criterio di gruppo viene utilizzato in un’altra OU, non funzionerà più lì.